Приложение В (справочное). Примеры спецификаций конструкций оценки защищенности. Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27004-2021 "Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Мониторинг, оценка защищенности, анализ и оценивание" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 19.05.2021 N 388-ст)

Приложение В
(справочное)

Примеры
спецификаций конструкций оценки защищенности

В.1 Общие положения

Примеры в приложении В соответствуют принципам, изложенным в настоящем стандарте. В приведенной ниже таблице примерам спецификаций конструкций оценки защищенности сопоставлены конкретные пункты ИСО/МЭК 27001 или номера мер обеспечения информационной безопасности, приведенные в его приложении А.

Связанные процессы СМИБ и меры обеспечения ИБ (номер раздела или номер меры обеспечения ИБ в ИСО/МЭК 27001)	Название конструкции оценки защищенности
5.1, 7.1	В.2 Распределение ресурсов
7.5.2, А.5.1.2	В.3 Пересмотр политик
5.1, 9.3	В.4 Обязательства руководства
8.2, 8.3	В.5 Подверженность рискам
9.2, А.18.2.1	В.6 Программа аудита
10	В.7 Действия по улучшению
10	В.8 Стоимость инцидентов безопасности
10, А.16.1.6	В.9 Анализ инцидентов информационной безопасности
10.1	В.10 Реализация корректирующих действий
А.7.2	В.11 Обучение СМИБ или ознакомление с СМИБ
А.7.2.2	В.12 Обучение информационной безопасности
А.7.2.1, А.7.2.2	В.13 Согласие с политикой информационной безопасности
А.7.2.2	В.14 Эффективность информационно-просветительских кампаний СМИБ
А.7.2.2, А.9.3.1, А.16.1	В.15 Подготовленность к социальной инженерии
А.9.3.1	В.16 Качество паролей, задаваемых вручную
А.9.3.1	В.17 Качество паролей, задаваемых автоматизировано
А.9.2.5	В.18 Пересмотр прав доступа пользователя
А.11.1.2	В.19 Оценка системы контроля физического доступа
А.11.1.2	В.20 Эффективность контроля физического доступа
А.11.2.4	В.21 Управление периодическим техническим обслуживанием
А.12.1.2	В.22 Управление изменениями
А.12.2.1	В.23 Защита от вредоносного кода
А.12.2.1	В.24 Антивирус
А.12.2.1, А.17.2.1	В.25 Общая доступность
А.12.2.1, А.13.1.3	В.26 Правила брандмауэра
А.12.4.1	В.27 Анализ файлов журналов
А.12.6.1	В.28 Конфигурация устройств
А.12.6.1, А.18.2.3	В.29 Тестирования на проникновение и оценка уязвимости
А.12.6.1	В.30 Уровень уязвимости организации
А.15.1.2	В.31.1/В.31.2 Безопасность в сторонних соглашениях
А.16	В.32 Эффективность менеджмента инцидентов информационной безопасности
А.16.1	В.33 Тенденция инцидентов безопасности
А.16.1.3	В.34 Регистрация событий безопасности
А.18.2.1	В.35 Процесс анализа СМИБ
А.18.2.3	В.36 Устранение уязвимостей

Для каждого примера приводится ссылка на соответствующий раздел или номер цели контроля и управления в ИСО/МЭК 27001. Кроме того, для двух примеров (В.20 и В.28) приводится дополнительный пункт, обозначенный как "действие". Он определяет действие, которое необходимо предпринять в случае, если цель не достигнута. Организации могут включать этот информационный пункт по желанию, если считают его полезным. Однако, не существует единого способа определения спецификаций таких конструкций, и приложение С демонстрирует альтернативное определение в произвольной форме.

В.2 Распределение ресурсов

Информационный показатель	Значение или цель
Идентификатор показателя	Определяется организацией
Информационная потребность	Количественная оценка ресурсов, выделяемых на информационную безопасность, по сравнению с первоначальным бюджетом
Показатель оценки	Распределение ресурсов, выделяемых на информационную безопасность (внутренний персонал, персонал по контракту, оборудование, программное обеспечение, услуги) в рамках годового бюджета
Формула/выигрыш	Выделенные ресурсы/использованные ресурсы в течение запланированного периода времени
Цель	1
Доказательство реализации	Мониторинг ресурсов информационной безопасности
Частота	Ежегодно
Ответственные стороны	Владелец информации: менеджер по информационной безопасности Сборщик информации: менеджер по информационной безопасности Заказчик информации: совет директоров
Источник данных	Бюджет информационной безопасности Эффективные расходы на информационную безопасность Отчеты об использовании ресурсов информационной безопасности
Формат представления в отчете	Лепестковая диаграмма с категорией ресурса на каждой оси и двойной индикацией выделенных и используемых ресурсов

См.: ИСО/МЭК 27001:2013, 5.1: Обязанности высшего руководства

ИСО/МЭК 27001:2013, 7.1: Ресурсы

В.3 Пересмотр политик

Информационный показатель	Значение или цель
Идентификатор показателя	Определяется организацией
Информационная потребность	Чтобы оценить, пересматриваются ли через запланированные промежутки времени политики информационной безопасности или производятся значительные изменения
Показатель оценки	Процентная доля пересмотренной политики
Формула/выигрыш	(Количество политик информационной безопасности, которые были рассмотрены в предыдущем году)/(Количество действующих политик информационной безопасности) х 100
Цель	Зеленый уровень: > 80 %, Оранжевый >= 40 %, Красный < 40 %
Доказательство реализации	История редакции документа с указанием пересмотра документа или списка документов с указанием даты последнего пересмотра
Частота	Сбор данных: в соответствии с запланированным интервалом пересмотра (например, ежегодно или после значительных изменений) Отчет: после каждого сбора данных
Ответственные стороны	Владелец информации: владелец политики, который утвердил ответственность руководства за разработку, проверку и оценку политики Сборщик информации: внутренний аудитор Потребитель оценки защищенности: главный специалист по информационной безопасности
Источник данных	Обзор плана политик, история политики безопасности, список документов
Формат представления в отчете	Круговая диаграмма для текущей ситуации и линейная диаграмма для представления эволюции соответствия

См.: ИСО/МЭК 27001:2013, А.5.1.2: Пересмотр политик информационной безопасности

ИСО/МЭК 27001:2013, 7.5.2: Создание и обновление документированной информации

В.4 Обязательства руководства

Информационный показатель	Значение или цель
Идентификатор показателя	Определяется организацией
Информационная потребность	Оценить обязательства и действия руководства по анализу информационной безопасности в отношении действий проверки со стороны руководства
Показатель оценки	Проведенные на сегодняшний день совещания руководства по анализу; средний уровень участия руководства в совещаниях по анализу на сегодняшний день
Формула/выигрыш	Разделите [проведенные совещания по рассмотрению руководством] на [запланированные совещания по рассмотрению руководством]; Рассчитайте среднее значение и стандартное отклонение всех показателей участия в совещаниях руководства
Цель	Показатель а): для вывода о достижении цели значение показателя должно быть от 0,7 до 1,1. В этом случае никаких действий не требуется. Даже если он снижается, для констатации успеха он должен быть больше 0,5; Показатель b): вычисленные доверительные интервалы, основанные на стандартном отклонении, указывают на вероятность достижения фактического результата, близкого к среднему уровню участия. Очень большой доверительный интервал предполагает потенциально большие усилия и необходимость планирования на случай непредвиденных обстоятельств для решения проблемы
Доказательство реализации	Для встреч по анализу управления необходимо: 1.1 Подсчитать количество встреч, запланированных на сегодняшний день; 1.2 Для каждой встречи по состоянию на сегодняшний день подсчитать количество менеджеров, планировавших участвовать и добавить новую строчку со значением по умолчанию для незапланированных спонтанных собраний; 2.1.1 Подсчитать запланированные встречи на сегодняшний день; 2.1.2 Подсчитать не запланированные встречи, проведенные до настоящего времени; 2.1.3 Подсчитать перенесенные собрания, проведенные до настоящего времени; 2.2 Для всех проведенных собраний подсчитать количество принимавших участие менеджеров
Частота	Сбор данных: ежемесячно; анализ: Ежеквартально; отчет: ежеквартально; пересмотр оценки защищенности: пересматривать и обновлять каждые 2 года; период оценки защищенности: применимо 2 года
Ответственные стороны	Владелец информации: менеджер системы качества (при условии объединенной системы управления СМК и СМИБ); сборщик информации: менеджер по качеству; менеджер по информационной безопасности; потребитель оценки защищенности: руководители, отвечающие за СМИБ; менеджер системы качества
Источник данных	План/график анализа управления информационной безопасностью; обзоры и протоколы встреч менеджмента по анализу управления
Формат представления в отчете	Линейная диаграмма, отображающая индикатор с критериями для нескольких периодов сбора данных и отчетности с отчетом о результатах оценки защищенности. Количество периодов сбора данных и отчетных периодов должно быть определено организацией

См.: ИСО/МЭК 27001:2013, 9.3: Проверка со стороны руководства

ИСО/МЭК 27001:2013, 5.1: Обязанности высшего руководства

В.5 Подверженность рискам

Информационный показатель	Значение или цель
Идентификатор показателя	Определяется организацией
Информационная потребность	Оценка подверженности организации рискам информационной безопасности
Показатель оценки	Высокие и средние риски за пределами допустимого порога; своевременный анализ высоких и средних рисков
Формула/выигрыш	Должен быть определен порог для высоких и средних рисков, а в случае превышения порога ответственные стороны должны уведомляться; количество рисков без обновления статуса
Цель	1
Доказательство реализации	Обновленный реестр рисков
Частота	Сбор данных: минимум ежеквартально; отчет: каждый квартал
Ответственные стороны	Владелец информации: сотрудники службы безопасности; сборщик информации: сотрудники службы безопасности
Источник данных	Реестр информационных рисков
Формат представления в отчете	Тенденция высоких рисков; тенденция принятых высоких и средних рисков

См.: ИСО/МЭК 27001:2013, 8.2: Оценка рисков информационной безопасности

ИСО/МЭК 27001:2013, 8.3: Обработка рисков информационной безопасности

В.6 Программа аудита

Информационный показатель	Значение или цель
Идентификатор показателя	Определяется организацией
Информационная потребность	Полнота программы аудита
Показатель оценки	Общее количество выполненных проверок по сравнению с общим количеством запланированных проверок
Формула/выигрыш	(Общее количество выполненных проверок)/(Общее количество запланированных проверок) х 100
Цель	> 95 %
Доказательство реализации	Мониторинг программы аудита и связанных с ней отчетов
Частота	Ежегодно
Ответственные стороны	Владелец информации: Менеджер по аудиту; сборщик информации: Менеджер по аудиту; потребитель оценки защищенности: Высшее руководство
Источник данных	Программа аудита и аудиторские отчеты
Формат представления в отчете	Диаграмма тенденций, связывающая соотношение выполненных и запланированных аудитов для каждого года выборки

См.: ИСО/МЭК 27001:2013, 9.2: Внутренний аудит

ИСО/МЭК 27001:2013, А.18.2.1: Независимая проверка информационной безопасности

В.7 Действия по улучшению

Информационный показатель	Значение или цель
Идентификатор показателя	Определяется организацией
Информационная потребность	Проверить состояние мероприятий по улучшению и управление ими в соответствии с планами
Показатель оценки	Процент действий по расписанию, затратам и качеству (то есть по требованиям) по отношению ко всем запланированным действиям; На начало периода действия должны быть запланированными (то есть быть готовыми к выполнению и выполняемыми)
Формула/выигрыш	[(Действия по расписанию, затраты и качество)/(Количество действий)] x 100
Цель	90 %
Доказательство реализации	Мониторинг состояния каждого действия
Частота	Ежеквартально
Ответственные стороны	Владелец информации: отдел управления проектами; сборщик информации: отдел управления проектами; потребитель оценки защищенности: менеджер по информационной безопасности
Источник данных	Соответствующие планы проекта
Формат представления в отчете	Список всех соответствующих действий и их статус (фактическое время, затраты и прогноз качества по сравнению с запланированными) с процентным соотношением действий по расписанию, затрат и качества к соответствующему количеству действий в заданный период времени

См.: ИСО/МЭК 27001:2013, раздел 10: Усовершенствование

Примечание - Обратите внимание, что показатель может быть улучшен путем присвоения каждому действию весового коэффициента с учетом их критичности (например, действий, направленных на высокие риски).

Список всех соответствующих действий должен быть дополнен синтезированным результатом так, чтобы большое количество некритических действий не скрывало сравнительно малое количество критических действий.

В.8 Стоимость инцидента безопасности

Информационный показатель	Значение или цель
Идентификатор показателя	Определяется организацией
Информационная потребность	Соображения о затратах, связанных с недостатками информационной безопасности
Показатель оценки	Сумма затрат на каждый инцидент информационной безопасности, произошедший в период выборки
Формула/выигрыш	Сумма (затраты на каждый инцидент информационной безопасности)
Цель	Менее приемлемого порога, определенного организацией
Доказательство реализации	Систематический сбор сведений о затратах на каждый инцидент информационной безопасности
Частота	Ежеквартально
Ответственные стороны	Владелец информации: группа реагирования на инциденты компьютерной безопасности; сборщик информации: менеджер по информационной безопасности; потребитель оценки защищенности: высшее руководство
Источник данных	Сообщения об инциденте
Формат представления в отчете	Столбчатая диаграмма, показывающая стоимость инцидентов информационной безопасности для этого и предыдущих периодов выборки. Она может сопровождаться следующими деталями: - средняя стоимость каждого инцидента информационной безопасности; - средняя стоимость каждого инцидента информационной безопасности для каждой категории инцидентов информационной безопасности (категории должны быть предварительно определены)

См.: ИСО/МЭК 27001:2013, А.10: Усовершенствование

В.9 Анализ инцидентов информационной безопасности

Информационный показатель	Значение или цель
Идентификатор показателя	Определяется организацией
Информационная потребность	Убедиться, что инциденты безопасности вызывают действия для улучшения текущей ситуации безопасности
Показатель оценки	Количество инцидентов безопасности, которые инициируют действия по улучшению информационной безопасности
Формула/выигрыш	(Количество инцидентов безопасности, которые вызвали действия)/(Количество инцидентов безопасности)
Цель	Значение должно быть выше порога, определенного организацией
Доказательство реализации	План действий со ссылкой на инциденты безопасности
Частота	Сбор данных: ежеквартально; отчет: каждое полугодие
Ответственные стороны	Владелец информации: группа реагирования на инциденты компьютерной безопасности; сборщик информации: менеджер по информационной безопасности; потребитель оценки защищенности: менеджер по информационной безопасности
Источник данных	Сообщения о происшествии
Формат представления в отчете	Столбчатая диаграмма, показывающая стоимость инцидентов информационной безопасности для этого и предыдущих периодов выборки. Она может сопровождаться следующими деталями: - средняя стоимость каждого инцидента информационной безопасности; - средняя стоимость каждого инцидента информационной безопасности для каждой категории инцидентов информационной безопасности (категории должны быть предварительно определены)

См.: ИСО/МЭК 27001:2013,10: Усовершенствование

ИСО/МЭК 27001:2013, А.16.1.6: Анализ инцидентов информационной безопасности

В.10 Реализация корректирующих действий

Информационный показатель	Значение или цель
Идентификатор показателя	Определяется организацией
Информационная потребность	Оценить эффективность реализации корректирующего действия
Показатель оценки	a) статус в виде доли не выполненных корректирующих действий; b) статус в виде доли корректирующих действий, не реализованных без причины; c) тенденция статуса
Формула/выигрыш	Разделить [Число корректирующих действий, не реализованных до настоящего времени] на [Число корректирующих действий, запланированных до настоящего времени]; разделить [Число корректирующих действий, не реализованных без причины] на [Число корректирующих действий, запланированных до настоящего времени]; сравнить состояния с предыдущими состояниями
Цель	Чтобы сделать вывод о достижении цели и отсутствии необходимых действий, значения индикатора а) и b) должны иметь значения между 0,4 и 0,0 и между 0,2 и 0,0 соответственно, а тенденция (индикатор с)) должна снижаться для последних 2 отчетных периодов. Показатель с) должен быть представлен в сравнении с предыдущими показателями для того, чтобы была понятна тенденция реализации корректирующих действий
Доказательство реализации	1. Подсчет корректирующих действий, запланированных к настоящему времени 2. Подсчет корректирующих действий, отмеченных как выполненные в срок 3. Подсчет запланированных корректирующих действий, отмеченных как не выполненные с указанием причины
Частота	Сбор данных: ежеквартально Анализ: ежеквартально Отчет: ежеквартально Пересмотр оценки защищенности: ежегодный анализ Периодичность оценки защищенности: применимо 1 год
Ответственные стороны	Владелец информации: менеджеры, ответственные за СМИБ Сборщик информации: менеджеры, ответственные за СМИБ Потребитель оценки защищенности: менеджеры, ответственные за СМИБ; менеджер по информационной безопасности
Источник данных	Отчеты по корректирующим действиям
Формат представления в отчете	Гистограмма с накоплением отчетов о результатах оценки защищенности, включая краткое изложение выводов и возможных действий руководства, которая отображает общее количество корректирующих действий, с разделением на выполненные, не выполненные без уважительной причины и не выполненные по уважительной причине

См.: ИСО/МЭК 27001:2013, подраздел 10.1: Выявление несоответствий и корректирующие действия

В.11 Обучение СМИБ или осведомленность о СМИБ

Информационный показатель	Значение или цель
Идентификатор показателя	Определяется организацией
Информационная потребность	Оценить, сколько сотрудников прошли тренинги по повышению осведомленности о СМИБ и установить контроль соответствия политике информационной безопасности организации
Показатель оценки	Процент сотрудников, принявших участие в тренинге по повышению осведомленности о СМИБ
Формула/выигрыш	I1 = [(Количество сотрудников, прошедших обучение по СМИБ)/(количество сотрудников, которые должны пройти обучение по СМИБ)] х 100; I2 = [(Количество сотрудников, которые возобновили обучение в СМИБ в прошлом году)/(количество сотрудников в области)] x 100
Цель	Зеленый уровень: если I1 > 90 и I2 > 50 % Желтый уровень: если I1 > 60% и I2 > 30 % Красный уровень: в остальных случаях Красный уровень - требуется вмешательство, необходимо провести анализ причин, чтобы определить причины несоответствия и слабых показателей Желтый уровень - следует внимательно следить за индикаторами на предмет возможного сползания к красному уровню Зеленый уровень - никаких действий не требуется
Доказательство реализации	Списки участия всего обучения осведомленности; количество журналов/реестров с заполнителем поля/строки обучения СМИБ как "Полученный"
Частота	Сбор данных: ежемесячно, в первый рабочий день месяца Анализ: ежеквартально Отчет: ежеквартально Пересмотр оценки защищенности: ежегодный анализ Периодичность оценки защищенности: ежегодно
Ответственные стороны	Владелец информации: Менеджер по обучению - Управление персоналом Сборщик информации: Менеджер по обучению - Отдел кадров Потребитель оценки защищенности: руководители, отвечающие за СМИБ, главный специалист по информационной безопасности
Источник данных	База данных сотрудников, учебные записи, список участников тренингов по повышению квалификации
Формат представления в отчете	Гистограмма с цветовой кодировкой столбцов в зависимости от цели. Краткое описание того, что означает показатель, и возможные меры управления должны прилагаться к гистограмме; Круговая диаграмма текущей ситуации и линейная диаграмма для представления эволюции соответствия

См.: ИСО/МЭК 27001:2013, 7.2: Квалификация.

В.12 Обучение информационной безопасности

Информационный показатель	Значение или цель
Идентификатор показателя	Определяется организацией
Информационная потребность	Оценить соответствие требованиям ежегодного обучения информационной безопасности
Показатель оценки	Процент персонала, прошедшего ежегодное обучение информационной безопасности
Формула/выигрыш	[(Число сотрудников, прошедших ежегодную подготовку по повышению осведомленности в области информационной безопасности)/(Число сотрудников, которым необходимо пройти ежегодную подготовку по повышению осведомленности в области информационной безопасности)] х 100
Цель	0-60 % - Красный уровень; 60-90 % - Желтый уровень; 90-100 %-ный Зеленый уровень В случае желтого уровня, если за квартал прирост не превышает по крайней мере 10 %, уровень является автоматически красным. Красный уровень - требуется вмешательство, необходимо провести анализ причин, чтобы определить причины несоответствия и слабых показателей Желтый уровень - следует внимательно следить за индикатором на предмет возможного сползания к красному уровню Зеленый уровень - никаких действий не требуется
Доказательство реализации	Подсчет строк "Получено" в журналах/реестрах ежегодного обучения по повышению осведомленности в области информационной безопасности
Частота	Сбор данных: ежемесячно, в первый рабочий день месяца Анализ: ежеквартально Отчет: ежеквартально Пересмотр оценки защищенности: ежегодный анализ Период оценки защищенности: ежегодно
Ответственные стороны	Владелец информации: Директор по информационной безопасности и Менеджер по обучению Сборщик информации: Менеджер по обучению - Отдел кадров Потребитель оценки защищенности: руководители, отвечающие за СМИБ, главный специалист по информационной безопасности, учебное управление
Источник данных	База данных сотрудников, учебные записи
Формат представления в отчете	Гистограмма с цветовой кодировкой столбцов в зависимости от цели. Краткое описание того, что означает показатель, и возможные меры управления должны прилагаться к гистограмме

См.: ИСО/МЭК 27001:2013, А.7.2.2: Осведомленность, обучение и практическая подготовка (тренинги) в области информационной безопасности

В.13 Согласие с политикой информационной безопасности

Информационный показатель	Значение или цель
Идентификатор показателя	Определяется организацией
Информационная потребность	Оцените состояние согласия соответствующего персонала с организационной политикой безопасности
Показатель оценки	Прогресс до настоящего времени; прогресс до настоящего времени с подписанием
Формула/выигрыш	Получить "прогресс на сегодняшний день", добавив всех подписавших сотрудников к запланированным подписать к сегодняшнему дню; получить "прогресс на сегодняшний день с подписанием" делением числа, подписавших на сегодняшний день, на число, запланированных подписать к сегодняшнему дню а) Вычислить [(прогресс на сегодняшний день)/(количество сотрудников запланированных подписать на сегодняшний день x 100)]/(прогресс на сегодняшний день с подписанием) б) Сравнить статус с предыдущими статусами
Цель	Для достижения цели управления полученные значения должны лежать для а) между 0,9 и 1.1, а для b) между 0,99 и 1.01. В таком случае не требуется каких-либо действий; тенденция должна быть восходящей или стабильной
Доказательство реализации	1.1. План/график обучения по информационной безопасности: персонал, указанный в плане 1.2. Персонал, который завершил или находится в процессе обучения: статус персонала в отношении обучения 2.1. План/график подписания соглашений: персонал, указанный в плане подписания 2.2. Персонал, подписавший соглашения: статус персонала в отношении подписания соглашений
Частота	Сбор данных: Ежемесячно, первый рабочий день месяца Анализ: ежеквартально Отчет: ежеквартально Пересмотр оценки защищенности: ежегодный анализ Период оценки защищенности: ежегодный
Ответственные стороны	Владелец информации: сотрудник по информационной безопасности и менеджер по обучению Сборщик информации: менеджер по обучению; отдел кадров Потребитель оценки защищенности: руководители, отвечающие за СМИБ; управление безопасности, управление обучением
Источник данных	1.1. План/график обучения по информационной безопасности: персонал, указанный в плане 1.2. Персонал, который завершил или находится в процессе обучения: статус персонала в отношении обучения 2.1. План/график подписания соглашений: персонал, указанный в плане подписания 2.2. Персонал, подписавший соглашения: статус персонала в отношении подписания соглашений
Формат представления в отчете	Стандартный шрифт = Критерии выполнены удовлетворительно Курсив Шрифт = Критерии выполнены неудовлетворительно Жирный шрифт = Критерии не выполнены

См.: ИСО/МЭК 27001:2013, А.7.2.2: Осведомленность, обучение и практическая подготовка (тренинги) в области информационной безопасности

ИСО/МЭК 27001:2013, А.7.2.1: Обязанности руководства

В.14 Эффективность информационно-просветительских кампаний СМИБ

Информационный показатель	Значение или цель
Идентификатор показателя	Определяется организацией
Информационная потребность	Оценить, насколько сотрудники усвоили содержание информационно-просветительской кампании
Показатель оценки	Процент сотрудников, проходящих тест знаний до и после информационно-просветительской кампании СМИБ
Формула/выигрыш	Выберите определенное количество сотрудников, на которых была рассчитана кампания по повышению уровня осведомленности, и дайте им возможность пройти короткий тест на знания по темам этой кампании. Процент людей, прошедших тест
Цель	Зеленый уровень: 90-100 % людей прошли тест; Оранжевый уровень: 60-90 % людей прошли тест; Красный уровень: < 60 % людей прошли тест
Доказательство реализации	Документы/информация информационной кампании обеспечили для сотрудников; список сотрудников, следовавших за информационной кампанией; тесты знаний
Частота	Сбор данных: через один месяц после информационной кампании Отчет: для каждой кампании
Ответственные стороны	Владелец информации: Отдел кадров; сборщик информации: Отдел кадров; потребитель оценки защищенности: менеджер по информационной безопасности
Источник данных	База данных персонала, информация об просветительской кампании, результаты испытаний знаний
Формат представления в отчете	Круговая диаграмма для представления процента сотрудников, прошедших тестирование, и линейная диаграмма для представления эволюции, если для конкретной темы было организовано дополнительное обучение

См.: ИСО/МЭК 27001:2013, А.7.2.2: Осведомленность, обучение и практическая подготовка (тренинги) в области информационной безопасности

В.15 Подготовленность к социальной инженерии

Информационный показатель	Значение или цель
Идентификатор показателя	Определяется организацией
Информационная потребность	Оценить, подготовлен ли штат для правильной реакции на некоторые случаи атак социальной инженерии
Показатель оценки	Процент персонала, который правильно отреагировал на тест, например, кто не нажимал на ссылку в тесте, состоящем в отправке фишингового электронного письма отобранным сотрудникам
Формула/выигрыш	а = (Количество сотрудников, кликнувших по ссылке)/(количество сотрудников, участвующих в тесте); b = 1 - (Количество сотрудников, сообщивших об опасном электронном письме по соответствующим каналам); с = (Количество сотрудников, которые следовали инструкциям, полученным при нажатии на ссылку, т.е. начали вводить пароль)/(количество сотрудников, участвующих в тесте); d = соответствующая взвешенная сумма вышеперечисленных величин в зависимости от характера теста
Цель	d: 0-60: Красный уровень; 60-80: Желтый уровень; 90-100: Зеленый уровень
Доказательство реализации	Подсчет активности на имитируемой команде и элементе управления, указанных по ссылке. Позаботьтесь о соблюдении аспектов конфиденциальности персонала и анонимности данных, чтобы участники теста не боялись негативных последствий этого теста
Частота	Сбор данных: ежемесячно - ежегодно, в зависимости от критичности атак социальной инженерии; отчет: для каждого набора персонала
Ответственные стороны	Владелец информации: главный специалист по информационной безопасности; сборщик информации: офицер ИТ-безопасности, обученный уважению аспектов конфиденциальности; потребитель оценки защищенности: владелец риска
Источник данных	Список сотрудников или пользователей данной услуги; информационная поддержка, общение (электронная почта или интранет)
Формат представления в отчете	Отчет об тестировании с указанием деталей тестирования, оценки защищенности, анализ результатов и рекомендации, на основе цели и согласованного исправления

См.: ИСО/МЭК 27001:2013, А.16.1: Менеджмент инцидентов информационной безопасности и улучшений;

ИСО/МЭК 27001:2013, А.9.3.1: Использование секретной аутентификационной информации;

ИСО/МЭК 27001:2013, А.7.2.2 Осведомленность, обучение и практическая подготовка (тренинги) в области информационной безопасности

В.16 Качество паролей, созданных вручную

Информационный показатель	Значение или цель
Идентификатор показателя	Определяется организацией
Информационная потребность	Оценить качество паролей, используемых пользователями для доступа к ИТ-системам организации
Показатель оценки	Общее количество паролей, которые соответствуют политике качества паролей организации a) доля паролей, которые соответствуют политике качества паролей организации; b) тенденции соответствия политике качества паролей
Формула/выигрыш	Подсчитать количество паролей в базе паролей пользователей; определить количество паролей, которые соответствуют политике паролей организации для каждого пользователя; a) доля паролей, которые соответствуют политике качества паролей организации; b) тенденции соответствия политик качества паролей; c) разделить [Общее количество паролей, соответствующих политике качества паролей организации] на [Количество зарегистрированных паролей]; d) сравнить соотношение с предыдущим соотношением
Цель	Цель управления достигнута, и никаких действий не требуется, если полученное соотношение выше 0,9; если полученное соотношение между 0,8 и 0,9, то цель управления не достигнута, но есть положительная тенденция к улучшению; если полученное соотношение ниже 0,8, то необходимо незамедлительное принятие мер
Доказательство реализации	1 Подсчет количества паролей в базе паролей пользователей; 2 Подсчет количества паролей, которые соответствуют политике паролей организации; файл конфигурации, настройки паролей или инструмент настройки
Частота	Сбор данных: В зависимости от критичности, но минимум ежегодно Анализ: после каждого сбора данных Отчет: после каждого анализа Пересмотр оценки защищенности: ежегодно Периодичность оценки защищенности: ежегодно
Ответственные стороны	Владелец информации: системный администратор; сборщик информации: служба безопасности; потребитель оценки защищенности: менеджеры, ответственные за СМИБ, менеджеры безопасности
Источник данных	База данных паролей пользователей; отдельные пароли
Формат представления в отчете	Линия тенденции, отображающая количество паролей, соответствующих политике качества паролей организации, с наложением линий тенденции, созданных в предыдущие отчетные периоды

См.: ИСО/МЭК 27001:2013, А.9.3.1: Использование секретной аутентификационной информации

В.17 Качество паролей, созданных автоматизировано

Информационный показатель	Значение или цель
Идентификатор показателя	Определяется организацией
Информационная потребность	Оценить качество паролей, используемых пользователями для доступа к ИТ-системам организации
Показатель оценки	1 Общее количество паролей 2 Общее количество не взламываемых паролей
Формула/выигрыш	1 Доля паролей, которые можно взломать в течение 4 часов 2 Тенденция величины 1 а) Разделить [Количество паролей, которые нельзя взломать] на [Общее количество паролей] б) Сравнить соотношение с предыдущим соотношением
Цель	Цель контроля и управления достигнута, и никаких действий не требуется, если полученное соотношение превышает 0,9. Если полученное соотношение находится между 0,8 и 0,9, цель не достигнута, но положительная тенденция указывает на улучшение. Если полученный коэффициент ниж 0,8, необходимо принять немедленные меры
Доказательство реализации	1 Запрос учетных записей сотрудника; 2 Запуск программы взлома паролей с помощью гибридной компьютерной атаки для системной учетной записи сотрудника
Частота	Сбор данных: еженедельно; анализ: еженедельно; отчет: еженедельно; пересмотр оценки защищенности: пересматривать и обновлять каждый год; период оценки защищенности: применимо 3 года
Ответственные стороны	Владелец информации: Системный администратор; сборщик информации: Служба безопасности; потребитель оценки защищенности: менеджеры, ответственные за СМИБ, менеджеры безопасности
Источник данных	База данных системной учетной записи сотрудников
Формат представления в отчете	Линия тенденции, отображающая возможность взлома пароля для всех протестированных записей, наложенная на линии, созданные в ходе предыдущих тестов

См.: ИСО/МЭК 27001:2013, А.9.3.1: Использование секретной аутентификационной информации

В.18 Пересмотр прав доступа пользователей

Информационный показатель	Значение или цель
Идентификатор показателя	Определяется организацией
Информационная потребность	Оценка количества проведенных систематических проверок прав доступа пользователей в критических системах
Показатель оценки	Процент критических систем, где права доступа пользователей периодически пересматриваются
Формула/выигрыш	[Количество информационных систем, классифицированных как критические, где проводятся периодические проверки прав доступа]/[Общее количество информационных систем, классифицированных как критические] ч 100
Цель	Зеленый уровень: 90-100 %, Оранжевый уровень: 70-90 %, Красных уровень:< 70 %
Доказательство реализации	Доказательства отзывов прав (например, электронное письмо, отметка в системе отслеживания, завершение проверки формального подтверждения)
Частота	Сбор данных: после любых изменений, таких как продвижение, понижение в должности или увольнение; отчет: каждое полугодие
Ответственные стороны	Владелец информации: владелец риска; сборщик информации: директор по ИТ-безопасности; потребитель оценки защищенности: менеджер по информационной безопасности
Источник данных	Реестр активов, система, используемая для отслеживания выполнения проверок, например, система тикетов
Формат представления в отчете	Круговая диаграмма для текущей ситуации и линейная диаграмма для представления эволюции соответствия

См.: ИСО/МЭК 27001:2013, А.9.2.5: Пересмотр прав доступа пользователей

В.19 Оценка системы контроля физического доступа

Информационный показатель	Значение или цель
Идентификатор показателя	Определяется организацией
Информационная потребность	Показать существование, степень и качество системы, используемой для управления физическим доступом
Показатель оценки	Совершенство системы контроля физического доступа
Формула/выигрыш	Оценивается по шкале от 0 до 5: 0 нет системы контроля доступа; 1 существует система доступа, в которой для контроля доступа используется PIN-код (однофакторная система); 2 существует система с картами доступа, в которой для контроля доступа используется пропускная система (однофакторная система); 3 существует система с картами доступа, в которой для контроля доступа используется карта доступа и PIN-код; 4 система из предыдущего пункта + активирована функция ведения журнала; 5 система из предыдущего пункта, в которой PIN-код заменяется биометрической аутентификацией (отпечаток пальца, распознавание голоса, сканирование сетчатки глаза и т.д.)
Цель	Оценка 3 соответствует удовлетворительному уровню
Доказательство реализации	Качественная оценка, где каждый элемент оценки является частью оценки выше; проверка типа системы контроля входа и осмотр следующих аспектов: - наличие системы контроля доступа; - использование PIN-кода; - функциональность журнала; - биометрическая аутентификация
Частота	Сбор данных: ежегодно; анализ: ежегодно; отчет: ежегодно; пересмотр оценки: 12 месяцев; Период оценки: применимо 12 месяцев
Ответственные стороны	Владелец информации: менеджер объекта; сборщик информации: внутренний аудитор/внешний аудитор; потребитель оценки: управляющий комитет
Источник данных	Записи управления идентификацией
Формат представления в отчете	Графики

См.: ИСО/МЭК 27001:2013, А.11.1.2: Меры и средства контроля и управления физическим доступом

В.20 Эффективность контроля физического доступа

Информационный показатель	Значение или цель
Идентификатор показателя	Определяется организацией
Информационная потребность	1 Обеспечить среду всеобъемлющей безопасности и подотчетности для персонала, объектов и продуктов; 2 Интегрировать механизмы защиты физической и информационной безопасности для обеспечения надлежащей защиты информационных ресурсов организации
Показатель оценки	Количество несанкционированных случаев входа в объекты, содержащие информационные системы (подмножество инцидентов физической безопасности)
Формула/выигрыш	Текущее количество инцидентов физической безопасности, позволяющих несанкционированные случаи входа в объекты, содержащие информационные системы/предыдущее значение; (Обратите внимание, что этот показатель должен учитывать специфический для организации контекст, такой как общее количество инцидентов физической безопасности)
Цель	Ниже 1.0
Доказательство реализации	Систематический анализ отчетов об инцидентах физической безопасности и журналов контроля доступа
Частота	Ежеквартально для сбора данных и создания отчетов
Ответственные стороны	Владелец информации: сотрудник охраны; сбор данных: группа реагирования на инциденты компьютерной безопасности; потребитель оценки: директор по ИТ, директор по ИТ-безопасности
Источник данных	Отчеты об инцидентах физической безопасности; журналы контроля физического доступа
Формат представления в отчете	График, показывающий тенденцию несанкционированного проникновения на объекты, содержащие информационные системы, за последние периоды сбора данных

См.: ИСО/МЭК 27001:2013, А.11.1.2: Меры и средства контроля и управления физическим доступом

Действие - Пересмотреть и улучшить средства контроля физической безопасности, применяемые к информационным системам.

В.21 Управление периодическим техническим обслуживанием

Информационный показатель	Значение или цель
Идентификатор показателя	Определяется организацией
Информационная потребность	Оценить своевременность операций по техническому обслуживанию относительно расписания
Показатель оценки	Задержка обслуживания на завершенное одно событие обслуживания
Формула/выигрыш	Для каждого завершенного события вычесть [Дату фактического обслуживания] из [Даты планового техобслуживания]
Цель	Для конкретной организации, например, если средняя задержка постоянно более 3 дней, необходимо изучить причины; коэффициент завершенных мероприятий по обслуживанию должен быть больше 0,9; тенденция должна быть стабильной или близкой к 0; тенденция должна быть стабильной или восходящей
Доказательство реализации	Даты планового техобслуживания; даты завершенного обслуживания; общее количество событий планового техобслуживания; общее количество завершенных событий обслуживания
Частота	Сбор данных: ежеквартально; отчет: ежегодно
Ответственные стороны	Владелец информации: Системный администратор; сборщик информации: Служба безопасности; потребитель оценки: Менеджер безопасности, менеджер по ИТ
Источник данных	1 План/расписание обслуживания системы 2 Записи обслуживания системы
Формат	Линейная диаграмма, которая отображает среднее отклонение задержки обслуживания, наложенная на диаграммы, полученные в предыдущие отчетные периоды, и число систем; объяснение результатов и рекомендации для потенциальных действий руководства

См.: ИСО/МЭК 27001:2013, А.11.2.4: Техническое обслуживание оборудования

В.22 Управление изменениями

Информационный показатель	Значение или цель
Идентификатор показателя	Определяется организацией
Информационная потребность	Оценить, соблюдаются ли передовая практика управления изменениями, а также политика укрепления
Показатель оценки	Процент новых установленных систем, для которых были соблюдены передовые методы управления изменениями и усилена политика
Формула/выигрыш	(Количество вновь установленных приложений или систем, в которых имеются доказательства соблюдения передовых методов управления изменениями)/(количество вновь установленных приложений)
Цель	Все системы должны соответствовать рекомендациям по управлению изменениями
Доказательство реализации	Система отслеживания, электронная почта, отчеты, контрольный список, используемый для конфигурации
Частота	Сбор данных: каждые полугодие Отчет: ежегодно руководству, каждые полгода менеджеру по информационной безопасности
Ответственные стороны	Владелец информации: владелец риска Сборщик информации: владелец риска Потребитель оценки: менеджер по информационной безопасности
Источник данных	Система отслеживания, электронные письма, отчеты, контрольный список, используемый для конфигурации, отчеты инструмента анализа конфигурации
Формат представления в отчете	Круговая диаграмма для текущей ситуации и линейная диаграмма для представления эволюции соответствия

См.: ИСО/МЭК 27001:2013, А.12.1.2: Процесс управления изменениями

В.23 Защита от вредоносного кода

Информационный показатель	Значение или цель
Идентификатор показателя	Определяется организацией
Информационная потребность	Оценить эффективность системы защиты от вредоносных компьютерных атак
Показатель оценки	Тенденция обнаруженных компьютерных атак, которые не были заблокированы в течение нескольких отчетных периодов
Формула/выигрыш	(Количество инцидентов безопасности, вызванных вредоносным программным обеспечением)/(количество обнаруженных и заблокированных компьютерных атак, вызванных вредоносным программным обеспечением)
Цель	Линия тренда должна оставаться ниже эталонной, что означает тенденцию снижения или сохранения уровня
Доказательство реализации	1 Подсчитать количество инцидентов безопасности, вызванных вредоносным программным обеспечением, в отчетах об инцидентах 2 Подсчитать количество записей заблокированных компьютерных атак
Частота	Сбор данных: ежедневно; анализ: ежемесячно; отчет: ежемесячно; пересмотр оценки: Ежегодный анализ; период оценки: применимо 1 год
Ответственные стороны	Владелец информации; сборщик информации; потребитель оценки
Источник данных	Отчеты об инцидентах; журналы программ противодействия вредоносному ПО
Формат представления в отчете	Линия тренда, которая отображает соотношение обнаружения и предотвращения вредоносных программ с линиями, созданными в предыдущие отчетные периоды

См.: ИСО/МЭК 27001:2013, А.12.2.1: Меры обеспечения информационной безопасности в отношении вредоносных программ

Примечание - Организации, использующие этот показатель, должны учитывать следующие факторы, которые могут привести к неправильным выводам относительно показателя:

- количество обнаруженных и заблокированных компьютерных атак, вызванных вредоносным программным обеспечением, может быть очень высоким, в результате чего, значение показателя окажется очень маленьким;

- если в течение определенного периода времени наблюдается рост распространения конкретного вируса, организация может столкнуться и с увеличением количества компьютерных атак и инцидентов ИБ, связанных с вредоносными программами. При этом значение показателя может оставаться неизменным несмотря на то, что увеличение числа инцидентов может вызвать обеспокоенность.

В.24 Антивирус

Информационный показатель	Значение или цель
Идентификатор показателя	Определяется организацией
Информационная потребность	Количество систем, подверженных вредоносным программам, которые не имеют обновленного антивирусного решения
Показатель оценки	Процент систем, поврежденных вредоносным ПО, подключенных к сети организации с устаревшими (например, более одной недели) сигнатурами антивирусного ПО
Формула/выигрыш	(Количество устаревших антивирусов)/(Всего рабочих станций)
Цель	0 или небольшое значение, определенное организацией
Доказательство реализации	Мониторинг антивирусной активности каждой подвергаемой угрозе вируса системе
Частота	Ежедневно
Ответственные стороны	Владелец информации: операции ИТ; сборщик информации: операции ИТ; потребитель оценки: директор по ИТ-безопасности
Источник данных	Средства мониторинга Антивирусная консоль
Формат представления в отчете	Число на класс систем (рабочих станций, серверов, ОС)

См.: ИСО/МЭК 27001:2013, А.12.2.1: Меры обеспечения информационной безопасности в отношении вредоносных программ

В.25 Общая доступность

Информационный показатель	Значение или цель
Идентификатор показателя	Определяется организацией
Информационная потребность	Доступность ИКТ-услуг для каждой услуги по сравнению с запланированным максимальным временем простоя
Показатель оценки	Для каждой ИКТ-услуги сквозная доступность сравнивается с максимальной доступностью (то есть, исключая ранее определенные окна простоя)
Формула/выигрыш	(Общая доступность)/(Максимальная доступность без учета окон простоя)
Цель	Цель доступности сервиса
Доказательство реализации	Мониторинг сквозной доступности каждой ИКТ-услуги
Частота	Ежемесячно
Ответственные стороны	Владелец информации: операции ИКТ; сборщик информации: качество ИКТ; потребитель оценки: ИТ-директор
Источник данных	Средства мониторинга
Формат представления в отчете	Для каждой услуги две строки: строка, показывающая фактическую доступность (процент) каждого периода выборки; строка (для сравнения), показывающая цель доступности

См.: ИСО/МЭК 27001:2013, А.17.2.1: Доступность средств обработки информации

В.26 Правила брандмауэра

Информационный показатель	Значение или цель
Идентификатор показателя	Определяется организацией
Информационная потребность	Оценить текущую производительность брандмауэра
Показатель оценки	Число неиспользуемых правил на пограничных межсетевых экранах
Формула/выигрыш	Количество правил пограничного межсетевого экрана, которые использовались 0 раз за последний период выборки
Цель	0
Доказательство реализации	Записи счетчиков использования в правилах каждого брандмауэра
Частота	Один или два раза в год
Ответственные стороны	Владелец информации: администратор сети/менеджер по информационной безопасности; сборщик информации: сетевой аналитик/аналитик по вопросам безопасности; потребитель оценки: администратор сети/менеджер по информационной безопасности
Источник данных	Консоль управления брандмауэром, отчет о проверке брандмауэра
Формат представления в отчете	Подсчет или список неиспользованных правил брандмауэра, которые нужно пометить для просмотра и возможного удаления

См.: ИСО/МЭК 27001:2013, А.13.1.3: Разграничение сетевых служб

В.27 Анализ файлов журналов

Информационный показатель	Значение или цель
Идентификатор показателя	Определяется организацией
Информационная потребность	Оценить соответствие регулярного анализа критических файлов системного журнала
Показатель оценки	Процент проверенных по необходимости файлов журнала аудита за период времени
Формула/выигрыш	[Количество файлов журнала, просмотренных за указанный период времени/общее количество файлов журнала] х 100
Цель	При результате ниже 20 % необходимо расследование причин низкой эффективности
Доказательство реализации	Суммировать общее количество файлов журнала, перечисленных в списке проверенных журналов
Частота	Сбор: ежемесячный (в зависимости от критичности, может быть изменен на ежедневный или на режим реального времени); анализ: ежемесячный (в зависимости от критичности, может быть изменен на ежедневный или на режим реального времени); отчет: Ежеквартально; пересмотр оценки защищенности: пересматривать и обновлять каждые 2 года; период оценки: применимо 2 года
Ответственные стороны	Владелец информации: менеджер по безопасности; сборщик информации: сотрудники службы безопасности; потребитель оценки: руководители, отвечающие за СМИБ, менеджер по безопасности
Источник данных	Система; отдельные файлы журнала; свидетельство анализа журнала
Формат представления в отчете	Линейная диаграмма, которая изображает тенденцию с кратким изложением результатов и любых предлагаемых действий руководства

См.: ИСО/МЭК 27001:2013, А.12.4.1: Регистрация событий

В.28 Конфигурация устройства

Информационный показатель	Значение или цель
Идентификатор показателя	Определяется организацией
Информационная потребность	Убедиться, что устройства организации всегда настраиваются в соответствии с политикой безопасности
Показатель оценки	Процент устройств (по типу), настроенных в соответствии с политикой
Формула/выигрыш	[Количество правильно настроенных устройств]/[Общее количество устройств] х 100; Общее количество устройств зависит от организации и может включать в себя любые из следующих: - устройства, зарегистрированные в базе данных управления конфигурацией; - устройства, найденные, но не зарегистрированные в базе данных управления конфигурацией; - устройств, работающих с определенной операционной системой/версией; - мобильные устройства и т.д.
Цель	100 %
Доказательство реализации	На основе автоматического сканирования: достоверного реестра устройств; достоверного реестра программного обеспечения; результатов сканирования конфигурации
Частота	Сканирование: каждые 3 дня; отчет: немедленно
Ответственные стороны	Владелец информации: управление сетью; сборщик информации: управление сетью; потребитель оценки: ИТ-директор
Источник данных	Панель управления конфигурацией; база данных инвентаризации; инструменты сканирования
Формат представления в отчете	Линейная диаграмма для тенденций с перечислением уязвимых узлов по имени
Действие	Отключить несанкционированные устройства от сети; исправить несовместимость устройств; проанализировать и при необходимости пересмотреть рекомендации по управлению конфигурацией и т.п.

См.: ИСО/МЭК 27001:2013, А.12.6.1: Процесс управления техническими уязвимостями

В.29 Тестирование на проникновение и оценка уязвимости

Информационный показатель	Значение или цель
Идентификатор показателя	Определяется организацией
Информационная потребность	Оценить, уязвимы ли информационные системы, обрабатывающие важную информацию (конфиденциальность, целостность), от вредоносных компьютерных атак
Показатель оценки	Процент критических информационных систем, для которых были выполнены тест на проникновение или оценка уязвимости после последней основной реализации
Формула/выигрыш	[Количество информационных систем, определенных как критические, для которых были выполнены тест на проникновение или оценка уязвимости после последней основной реализации]/[Количество информационных систем, определенных как критические] х 100; Значения уровней могут быть, например, такими; Зеленый: 100 %; Оранжевый: >= 75 %; Красный: < 75 %
Цель	Оранжевый (Зеленый уровень - это практически идеально)
Доказательство реализации	Отчеты о тестах на проникновение или оценках уязвимости, выполненных в информационных системах, по сравнению с количеством информационных систем, классифицированных при инвентаризации активов как критические
Частота	Сбор данных: ежегодно; отчет: для каждого сбора данных
Ответственные стороны	Владелец информации: владелец риска; сборщик информации: эксперты, обладающие навыками для проведения тестов на проникновение или выполнения оценок уязвимости; потребитель оценки: директор по ИТ-безопасности
Источник данных	Инвентаризация активов, протоколы испытаний на проникновение
Формат представления в отчете	Круговая диаграмма для текущей ситуации и линейная диаграмма для представления эволюции соответствия

См.: ИСО/МЭК 27001:2013, А.12.6.1: Процесс управления техническими уязвимостями

ИСО/МЭК 27001:2013, А.18.2.3: Анализ технического соответствия

В.30 Уровень уязвимости организации

Информационный показатель	Значение или цель
Идентификатор показателя	Определяется организацией
Информационная потребность	Оценить уровень уязвимости информационных систем организации
Показатель оценки	Вес открытых (не исправленных) уязвимостей
Формула/выигрыш	Значение серьезности открытой уязвимости (например, по шкале CVSS) х Количество уязвимых систем
Цель	Определяется в зависимости от подверженности организации рискам
Доказательство реализации	Анализ деятельности по оценке уязвимости
Частота	Ежемесячно или ежеквартально
Ответственные стороны	Владелец информации: аналитики информационной безопасности или сторонние организации; сборщик информации: аналитики информационной безопасности; потребитель оценки: менеджер по информационной безопасности
Источник данных	Отчеты об оценке уязвимости; инструменты оценки уязвимости
Формат представления в отчете	Сводные значения баллов для однородных или чувствительных систем (внешние/внутренние сети, системы Unix и т.д.)

См.: ИСО/МЭК 27001:2013, А.12.6.1: Процесс управления техническими уязвимостями

ГАРАНТ:

Нумерация пунктов приводится в соответствии с источником

В.31.1 Безопасность в сторонних соглашениях - А

Информационный показатель	Значение или цель
Идентификатор показателя	Определяется организацией
Информационная потребность	Оценить степень безопасности в сторонних соглашениях
Показатель оценки	Средний процент соответствующих требований безопасности, указанных в сторонних соглашениях
Формула/выигрыш	[Сумма (для каждого соглашения (количество обязательных требований) - (количество удовлетворенных требований))/количество соглашений] х 100
Цель	100 %
Доказательство реализации	База данных поставщиков, записи соглашений с поставщиками
Частота	Сбор данных: ежеквартально; отчет: раз в полгода
Ответственные стороны	Владелец информации: договорной отдел; сборщик информации: служба безопасности; потребитель оценки: менеджер безопасности, управляющие делами
Источник данных	База данных поставщиков, записи соглашений с поставщиками
Формат	Линейный график, отображающий тенденцию за несколько отчетных периодов; краткое изложение выводов и возможных действий руководства

См.: ИСО/МЭК 27001:2013, А.15.1.2: Рассмотрение вопросов безопасности в соглашениях с поставщиками

Примечание - Данный показатель предполагает, что все требования безопасности равнозначны, однако на практике это обычно не так. Таким образом, общая картина может скрывать значительные различия и тем самым создавать ложное представление о безопасности. Кроме того, требования, которые организация предъявляет разным поставщикам, и способность поставщиков их выполнять также, вероятно, будут различаться. Это означает, что поставщиков не нужно оценивать одинаково. В идеале для обеспечения более точной и значимой оценки база данных поставщиков должна содержать рейтинг или категорию безопасности поставщика.

В.31.2 Безопасность в сторонних соглашениях - В

Информационный показатель	Значение или цель
Идентификатор показателя	Определяется организацией
Информационная потребность	Оценить степень защиты в сторонних соглашениях по обработке личной информации
Показатель оценки	Средний процент соответствующих требований безопасности в сторонних соглашениях
Формула/выигрыш	Определить количество требований безопасности, которые необходимо учитывать в каждом соглашении для каждой политики (доступность, соотношение, время отклика, уровень службы поддержки, уровень обслуживания и т.д.) Сумма (для каждого соглашения (количество обязательных требований) - (количество удовлетворенных требований))/количество соглашений; 1 Среднее отношение разницы числа обязательных требований к числу удовлетворяемым требованиям: Сумма (для каждого соглашения ([Общее число требований безопасности] - [Общее число стандартных требований безопасности]))/[Количество сторонних соглашений]; 2 Тенденция соотношения: Сравнить с предыдущим показателем 1
Цель	Показатель 1 должен быть больше, чем 0,9; показатель 2 должен быть стабильным или восходящим
Доказательство реализации	Определите количество требований безопасности, которые должны быть учтены в каждом соглашении для каждой политики
Частота	Сбор данных: ежемесячно; анализ: ежеквартально; отчет: ежеквартально; пересмотр оценки: 2 года; период оценки: применимо 2 года
Ответственные стороны	Владелец информации: договорной отдел; сборщик информации: служба безопасности; потребитель оценки: менеджеры, ответственные за СМИБ, менеджеры безопасности
Источник данных	Сторонние соглашения
Формат представления в отчете	Линейный график, отображающий тенденцию за несколько отчетных периодов. Краткое изложение выводов и возможных действий руководства

См.: ИСО/МЭК 27001:2013, А.15.1.2: Рассмотрение вопросов безопасности в соглашениях с поставщиками

В.32 Эффективность менеджмента инцидентов информационной безопасности

Информационный показатель	Значение или цель
Идентификатор показателя	Определяется организацией
Информационная потребность	Оценить эффективность менеджмента инцидентов информационной безопасности
Показатель оценки	Число инцидентов, не разрешенных в установленные сроки
Формула/выигрыш	a) Определить категории инцидентов безопасности и целевые временные рамки, в которые инциденты безопасности должны быть разрешены для каждой категории инцидентов безопасности; b) определить по категориям пороговые значения показателя для инцидентов безопасности, разрешение которых превышает заданные целевые периоды времени; c) сравнить по категориям количество инцидентов, время разрешения которых превышает целевые временные рамки с пороговыми значениями показателя
Цель	Целевые временные рамки разрешения инцидентов в пределах определенного для категории зеленого порогового значения
Доказательство реализации	Ежемесячно докладываемые целевые
Частота	Сбор данных: ежемесячно; анализ: ежемесячно; отчет: ежемесячно; пересмотр оценки: шесть месяцев; период оценки: ежемесячно
Ответственные стороны	Владелец информации: менеджеры, ответственные за СМИБ; сборщик информации: менеджер по управлению инцидентами; потребитель оценки: административный комитет СМИБ; менеджеры, ответственные за СМИБ; управление безопасностью; менеджмент инцидентов
Источник данных	СМИБ; отдельный инцидент; отчеты об инцидентах; инструмент менеджмента инцидентов
Формат представления в отчете	Значения месячного целевого индикатора в формате таблицы и диаграммы тренда

См.: ИСО/МЭК 27001:2013, А.16: Менеджмент инцидентов информационной безопасности

В.33 Тенденция инцидентов безопасности

Информационный показатель	Значение или цель
Идентификатор показателя	Определяется организацией
Информационная потребность	Тенденция инцидентов информационной безопасности; тенденция категорий инцидентов информационной безопасности
Показатель оценки	Количество инцидентов информационной безопасности за определенный период времени (например, месяц); количество инцидентов информационной безопасности определенной категории за определенный период времени (например, месяц)
Формула/выигрыш	Сравнить среднее значение оценки для последних двух периодов времени со средним значением оценки за последние 6 периодов времени. Определите пороговые значения для индикаторов тренда, например: Зеленый уровень: < 1,0; Желтый уровень: 1,00-1,30; Красный уровень: > 1,3. 1 Провести анализ для всех инцидентов 2 Выполнить анализ для каждой конкретной категории
Цель	Зеленый уровень
Доказательство реализации	Ежемесячный доклад о значениях индикатора
Частота	Ежемесячно
Ответственные стороны	Владелец информации: группа реагирования на инциденты компьютерной безопасности; сборщик информации: группа реагирования на инциденты компьютерной безопасности; потребитель оценки: - ИТ директор, директор по ИТ-безопасности
Источник данных	Сообщения о событии безопасности
Формат представления в отчете	Таблица со значениями индикатора; диаграмма тренда

См.: ИСО/МЭК 27001:2013, А.16.1: Менеджмент инцидентов информационной безопасности

В.34 Регистрация событий безопасности

Информационный показатель	Значение или цель
Идентификатор показателя	Определяется организацией
Информационная потребность	Показатель того, как регистрируются события безопасности и как они формально обрабатываются
Показатель оценки	Сумма событий безопасности, сообщенных группе реагирования на инциденты компьютерной безопасности относительно размера организации
Формула/выигрыш	Сумма событий безопасности, которые были зарегистрированы и формально обработаны в группу реагирования Количество должностей безопасности, определенных организацией
Цель	По крайней мере одно событие безопасности на должность безопасности в год
Доказательство реализации	Система отслеживания и обработки заявок о событиях безопасности
Частота	Сбор данных: ежегодно; отчет: ежегодно
Ответственные стороны	Владелец информации: группа реагирования на инциденты компьютерной безопасности; сбор данных: менеджер по информационной безопасности; потребитель оценки: менеджер по информационной безопасности, высшее руководство
Источник данных	Сообщения об инцидентах
Формат представления в отчете	Линия тренда, показывающая эволюцию зарегистрированных событий безопасности за последние периоды

См.: ИСО/МЭК 27001:2013, А.16.1.3: Сообщения о недостатках информационной безопасности

В.35 Процесс анализа СМИБ

Информационный показатель	Значение или цель
Идентификатор показателя	Определяется организацией
Информационная потребность	Оценить степень выполнения независимой проверки информационной безопасности
Показатель оценки	Коэффициент прогресса выполненных независимых проверок
Формула/выигрыш	Разделить [Количество проведенных сторонних проверок] на [Общее количество запланированных сторонних проверок]
Цель	Чтобы сделать вывод о достижении цели контроля и отсутствия необходимости принятия мер, значение индикатора должно попадать в интервал между 0,8 и 1,1. Значение более 0,6 означает несоответствие первичному условию
Доказательство реализации	1 Число отчетов о проведенных регулярных проверках третьей стороной 2 Общее количество запланированных сторонних проверок
Частота	Сбор данных: ежеквартально; анализ: ежеквартально; отчет: ежеквартально; пересмотр оценки: анализ и обновление каждые 2 года; период оценки: применимо 2 года
Ответственные стороны	Владелец информации: менеджеры, ответственные за СМИБ Сборщик информации: внутренний аудит; менеджер по качеству Потребитель оценки: менеджеры, ответственные за СМИБ, администратор системы качества
Источник данных	Отчеты сторонних проверок; планы сторонних проверок
Формат представления в отчете	Гистограмма, изображающая соответствие за несколько отчетных периодов относительно порогов, определяемых целью

См.: ИСО/МЭК 27001:2013, А.18.2.1: Независимая проверка информационной безопасности

В.36 Устранение уязвимости

Информационный показатель	Значение или цель
Идентификатор показателя	Определяется организацией
Информационная потребность	Оценка текущего присутствия уязвимостей в системах организации
Показатель оценки	Доля систем, которые были объектом оценки тестирования на уязвимости/проникновение
Формула/выигрыш	(Число систем, для которых выполнялась оценка уязвимостей за последний квартал или тест на проникновение за последний год)/(Общее число систем)
Цель	1
Доказательство реализации	Анализ деятельности по оценке уязвимостей и тестированию на проникновение
Частота	Ежеквартально
Ответственные стороны	Владелец информации: аналитики по информационной безопасности или сторонние подрядчики; сборщик информации: аналитики по информационной безопасности; потребитель оценки: менеджер по информационной безопасности
Источник данных	Отчеты по оценке уязвимости; инструменты оценки уязвимости; отчеты испытаний на проникновение
Формат представления в отчете	Сводная круговая диаграмма и круговая диаграмма с однородными или чувствительными системами, отображающая полученные соотношения

См.: ИСО/МЭК 27001:2013, А.18.2.3: Анализ технического соответствия